Die International Organization of Securities Commissions (IOSCO) hat kürzlich eine Aktualisierung der 2005 für Finanzmarktintermediäre (Market Intermediary) und 2009 für Börsen festgelegten Grundsätze für das Outsourcing von Dienstleistungen veröffentlicht. Diese Aktualisierung ist auf neue technologische Entwicklungen und die jüngsten Entwicklungen im Bereich des Outsourcings zurückzuführen.

Zunächst wurde der persönliche Geltungsbereich dieser Grundsätze erweitert. Sie gelten nicht nur für die oben genannten Einrichtungen, sondern auch für Handelsplattformen (insbesondere multilaterale Handelssysteme), für auf eigene Rechnung handelnde Teilnehmer an den Finanzmärkten und für Ratingagenturen (im Folgenden : regulierte Einrichtungen). Der Bericht enthält auch eine eingehende Analyse der Nutzung von Outsourcing und Cloud Computing durch Ratingagenturen.

Anschließend werden in diesem Bericht die verschiedenen Risiken des Outsourcings für regulierte Unternehmen aufgezeigt. Dazu gehören der Verlust der Kontrolle über die Ausführung ausgelagerter Aufgaben, das erhöhte Risiko von Cybervorfällen und Datenlecks sowie Risiken für die betriebliche Widerstandsfähigkeit regulierter Unternehmen.

Es werden sieben Grundprinzipien für die Auslagerung vorgeschlagen. Diese lassen sich in drei Kategorien einteilen : Grundsätze für die Auswahl des Dienstleisters, Grundsätze für die Kontrolle und Überwachung des Dienstleisters und schließlich Grundsätze für die Beendigung des Vertragsverhältnisses.

Für die Auswahl der Dienstleister empfiehlt der Bericht die Durchführung eines Audits. Dieses ermöglicht es insbesondere, potenzielle Interessenkonflikte zu identifizieren, die Kompetenzen des Dienstleisters zu bewerten, die auszulagernden Aufgaben zu identifizieren und die grenzüberschreitenden Risiken im Zusammenhang mit der Auslagerung zu bestimmen. Dieses Audit wird auch die Ausarbeitung des Vertrags erleichtern, der auf die kritischen und materiellen Risiken der ausgelagerten Aufgaben eingehen und gleichzeitig Kollisionsregeln in Bezug auf das anwendbare Recht und den Gerichtsstand vorsehen muss.

In Bezug auf die Kontrolle und Überwachung des Dienstleisters empfiehlt der Bericht den regulierten Unternehmen und ihren Dienstleistern, geeignete Maßnahmen zu ergreifen, um Kundendaten vor Datenlecks zu schützen und die Widerstandsfähigkeit des verwendeten Systems sicherzustellen. Zu den vorgeschlagenen Maßnahmen gehören die Einrichtung regelmäßiger Backups, die Durchführung regelmäßiger IT-Systemtests zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen sowie die Einrichtung von Notfallverfahren für den Dienstleister oder von Notfallwiederherstellungsplänen. Diese Maßnahmen müssen den verschiedenen geltenden Gesetzen Rechnung tragen, insbesondere im Falle einer grenzüberschreitenden Auslagerung.

Ein weiterer Grundsatz, der bei der Überwachung hilft, ist der Zugang auf Anfrage zu den Daten, IT-Systemen, Räumlichkeiten und Mitarbeitern des Dienstleisters. Dieser Zugang ermöglicht es, die ordnungsgemäße Ausführung der ausgelagerten Aufgabe im Hinblick auf den Vertrag und die geltenden Vorschriften zu kontrollieren. Auch die Prüfer und Aufsichtsbehörden der regulierten Unternehmen müssen ein Zugangsrecht haben. Daher wird vorgeschlagen, eine Vertragsklausel vorzusehen, die ein Inspektionsrecht gewährt. Es ist absehbar, dass die Ausarbeitung dieser Klausel Gegenstand zäher Verhandlungen sein wird, da die regulierte Einheit das umfassendste Inspektionsrecht haben möchte, während der Dienstleister dieses auf das Nötigste beschränkt, um seine Geschäftsgeheimnisse zu schützen. Diese Problematik könnte im Zusammenhang mit dem Zugang oder Nichtzugang zu internen, vom Dienstleister zur Ausführung der ausgelagerten Aufgaben verwendeten Algorithmen auftreten.

Schließlich empfiehlt der Bericht, Vertragsklauseln vorzusehen, die festlegen, wann eine Kündigung erfolgen kann, unter welchen Bedingungen und wann die Kündigung wirksam wird. Diese Klauseln ermöglichen die Einführung einer Übergangszeit vor dem Ende der Vertragsbeziehungen. Die Parteien müssen auch Verfahren für die Übertragung von Daten an die regulierte Einheit sowie deren Löschung vorsehen.

Zusammenfassend lässt sich sagen, dass diese Grundsätze nichts Revolutionäres sind, sondern die bewährten Verfahren verdeutlichen, die anzuwenden sind, wenn eine Aufgabe an einen Dienstleister ausgelagert wird. Im Übrigen ist festzustellen, dass wichtige Grundsätze im Bereich der Informationssicherheit, wie die Widerstandsfähigkeit der Systeme gegenüber Cyber-Vorfällen, unumgänglich werden. Diese Grundsätze können daher mehr als einer Institution als Inspiration dienen, wenn es darum geht, ihre Aufgaben auszulagern.